Se você me conhece, ou leu meu postagem anterior , você sabe que trabalhei para uma empresa muito interessante antes de ingressar na ApeeScape. Nessa empresa, nosso provedor de pagamento processou transações em torno de US $ 500 mil por dia. Parte do meu trabalho era fazer com que nosso provedor Compatível com PCI-DSS —Ou seja, compatível com o Payment Card Industry - Data Security Standard.
É seguro dizer que este não era um trabalho para quem tem coração fraco. Neste ponto, sou bastante íntimo de cartões de crédito (CCs), hacking de cartão de crédito e segurança web em geral . Afinal, nosso trabalho era proteger os dados de nossos usuários, para evitar que fossem hackeados, roubados ou usados indevidamente.
Você pode imaginar minha surpresa quando vi o artigo de Bennett Haselton de 2007 no Slashdot: Por que os números CC ainda são tão fáceis de encontrar? . Em suma, Haselton foi capaz de encontrar números de cartão de crédito por meio do Google, primeiro pesquisando os primeiros oito dígitos de um cartão no formato 'nnnn nnnn' e, posteriormente, usando algumas consultas avançadas baseadas em intervalos de números. Por exemplo, ele poderia usar “4060000000000000..4060999999999999” para encontrar todos os 16 dígitos Números de conta primária (PANs) de CHASE (cujas cartas começam com 4060). A propósito: aqui está uma lista completa de Números de identificação do emissor .
como iniciar um fundo de private equity
Na época, não pensei muito nisso, pois o Google imediatamente começou a filtrar os tipos de consultas que Bennett estava usando. Quando você tentava pesquisar no Google uma série como essa, o Google exibia uma página que dizia algo como 'Você é uma pessoa má'.
Cerca de seis meses atrás, enquanto relembrando com um velho amigo, este hack de número de cartão de crédito veio à mente novamente. Logo depois, descobri algo alarmante. Não terrivelmente alarmante, mas certamente alarmante - então notifiquei o Google e esperei. Depois de um mês sem resposta, eu os notifiquei novamente, sem sucesso.
Com um pequeno ajuste no velho truque de Haselton, consegui Google números de cartão de crédito, números de previdência social e qualquer outra informação confidencial de interesse.
Então, eu notifiquei o Google e esperei. Depois de um mês sem resposta, eu os notifiquei novamente, sem sucesso. Com um pequeno ajuste no velho truque de Haselton, consegui pesquisar no Google os números do cartão de crédito, do seguro social e quaisquer outras informações confidenciais.Ontem, alguns amigos meus ( buhera.blog.hu e _2501) chamou minha atenção para uma postagem mais recente do Slashdot: Números de cartão de crédito ainda compatíveis com o Google .
O autor do artigo, novamente Bennett Haselton, que escreveu o artigo original em 2007, afirma que os números de cartão de crédito ainda podem ser pesquisados no Google. Você não pode usar o hack de consulta de intervalo numérico, mas ainda pode ser feito. Em vez de usar intervalos simples, você precisa aplicar uma formatação específica à sua consulta. Algo como: “1234 5678” (observe o espaço no meio). Muitos resultados aparecem para esta consulta, mas muito poucos são de real interesse. Entre os concorrentes estão números de telefone, códigos postais e outros. Não é extremamente alarmante. Mas aí vem a reviravolta do hack do cartão de crédito.
Eu estava curioso para saber se ainda era possível obter números de cartão de crédito online da maneira que podíamos em 2007. Como qualquer bom engenheiro, geralmente abordo as coisas usando um plano inteligente e bem construído que precisa ser executado perfeitamente com a maior precisão. Se você já tentou esse método, sabe que pode falhar muito - nesse caso, seu planejamento cuidadoso e esforço serão perdidos.
como trabalhar remotamente de casa
Dentro ISTO temos a tendência de superintelectualizar, mesmo quando não é exatamente garantido. Tenho visto meus amigos e colegas quebrar completamente os aplicativos usando entradas aparentemente aleatórias. A taxa de sucesso deles foi impressionante e o esforço que eles colocaram foi quase zero. Foi quando eu aprendi que para abrir uma porta, às vezes você só precisa bater.
O parágrafo anterior foi uma tentativa habilmente disfarçada de me fazer parecer menos idiota quando mostro minhas “habilidades de hacking de elite”. Opa.
Primeiro, tentei várias abordagens baseadas em consulta de intervalo. Em seguida, examinei as consultas avançadas e praticamente qualquer coisa que você pudesse fazer em uma hora ou mais. Nenhum deles produziu resultados significativos.
E então tive uma ideia maluca.
E se houvesse uma incompatibilidade entre o mecanismo de filtragem e o back-end real? E se a mensagem que recebi do Google (“Você é uma pessoa má”) não fosse do back-end em si, mas de um mecanismo de filtragem designado que o Google implementou para censurar consultas como a minha?
Faria muito sentido de uma perspectiva arquitetônica. E bugs como esse são muito comuns - os vemos em ITSEC o tempo todo, especialmente em IDS / IPS soluções, mas também em software comum. Existe um procedimento de filtragem que processa os dados e só os entrega ao back-end se considerar que os dados são aceitáveis / não maliciosos. No entanto, o back-end e o servidor de filtragem quase nunca analisam a entrada exatamente da mesma maneira. Assim, uma entrada aparentemente válida pode passar pelo filtro e causar estragos no back-end, ignorando efetivamente o filtro.
Normalmente, você pode acionar esse tipo de comportamento fornecendo sua entrada em várias codificações. Por exemplo: em vez de usar números decimais (0-9), que tal convertê-los em hexadecimal, octal ou binário? Bem, adivinhe…
Pesquise isso e o Google dirá que você é uma pessoa má: “4060000000000000..4060999999999999”
Pesquise isso e o Google terá o prazer de atender: “0xe6c8c69c9c000..0xe6d753e6ecfff”.
A única coisa que você precisa fazer é converter os números de cartão de crédito de decimais para hexadecimais. É isso aí.
Os resultados incluem ...
o que causa um vazamento de memória
É realmente assustador.
tutorial de aprendizado de máquina do microsoft azure
Eu sei que esse bug não vai inspirar nenhuma pesquisa de segurança, mas aí está. O Google fez esse boo-boo e se esqueceu até de me escrever de volta. Bem, isso acontece. Eu não invejo o pessoal da segurança do grande G, no entanto. Eles devem ter um monte de coisas para cuidar. Estou postando sobre este hack de número de cartão de crédito aqui porque:
Este truque pode ser usado para procurar números de telefone, SSNs, TFNs e muito mais. E, como escreveu Bennett, esses números são muito mais difíceis de mudar do que o seu cartão de crédito, para o qual você pode simplesmente ligar para o seu banco e cancelar o cartão.
AVISO: NÃO Google o número completo do seu cartão de crédito!
Procure qualquer CC PAN começando com 4060: 4060000000000000..4060999999999999? 0xe6c8c69c9c000..0xe6d753e6ecfff
Alguns números de telefone húngaros do provedor ‘Telenor’? Não tem problema: 36200000000..36209999999? 0x86db02a00..0x86e48c07f
Procure SSNs. Felizmente, eles não retornam muitos resultados significativos: 100000000..999999999? 0x5f5e100..0x3b9ac9ff
Há muitos, muitos mais.
Se você achar algo muito alarmante, ou se estiver curioso sobre a pirataria de cartão de crédito, deixe nos comentários ou entre em contato comigo por e-mail em [email protegido] ou no Twitter em @synsecblog . Ligar para a polícia geralmente é inútil nesses casos, mas pode valer a pena tentar. O comerciante ou fornecedor do cartão em geral está mais interessado em resolver o problema.
modificações no código-fonte de um programa de código-fonte aberto não podem ser adicionadas ao produto.
Bem, o Google obviamente tem que consertar isso, possivelmente com a ajuda de grandes jogadores como Visa e Mastercard. Na verdade, Haselton fornece uma série de sugestões interessantes nos dois artigos vinculados acima.
O que você precisa fazer, no entanto (e por que eu escrevi esta postagem), é espalhar a palavra. A fraude de cartão de crédito é uma grande indústria, e a simples conscientização pode evitar que você se torne uma vítima. Além disso, se você tiver um site de comércio eletrônico ou lidar com qualquer processamento de cartão de crédito, certifique-se de que você está seguro . PCI-DSS é uma boa diretriz, mas está longe de ser perfeita. Além disso, é sempre uma boa ideia Google seu site com a consulta avançada “site: meusite.com”, procurando por números confidenciais. Há uma chance muito, muito pequena de que você encontre alguma coisa - mas se você encontrar, você deve agir imediatamente.
Além disso, um conselho amigável: você deve Nunca forneça as informações do seu cartão de crédito a qualquer pessoa. Meu conselho seria usar o PayPal ou um serviço semelhante sempre que possível. Você pode verificar estes links para mais informações:
E algumas dicas gerais: não baixe coisas que você não pediu, não abra e-mails de spam e lembre-se de que seu banco nunca pedirá sua senha.
A propósito: se você acha que não há ninguém estúpido o suficiente para se apaixonar por essas técnicas de hack de cartão de crédito ou dar informações de cartão de crédito na Internet, dê uma olhada @NeedADebitCard .
Fiquem seguras, pessoas!
CCV significa Valor de verificação do cartão. O número CCV geralmente está localizado no verso de um cartão de crédito ou débito. O CCV é geralmente um número de três dígitos, embora alguns cartões como American Express usem CCVs de quatro dígitos. O CCV é comumente usado para verificar se os compradores online estão de posse do cartão.
PCI DSS significa Payment Card Industry Data Security Standard. O PCI DSS garante que todas as partes envolvidas no processamento, transferência e armazenamento de dados de cartão de crédito operem em um ambiente seguro.
Simplificando, a conformidade com o PCI exige que todas as empresas que aceitam pagamentos com cartão de crédito e débito garantam a segurança padrão da indústria. O PCI Security Standards Council atualmente exige 12 requisitos de conformidade PCI.